Professional Documents
Culture Documents
3. Yetki Yükseltimi
5. SQL Enjeksiyonu
Belirli bir veritabanı kullanıcısının aşırı yetkilendirilmiş olmasının sebebi veritabanı yöneticilerinin her
bir kullanıcı için erişim yetkisi denetim mekanizmalarını tanımlamak ve güncellemek için gerekli
zamanlarının olmamasıdır. Sonuç olarak tüm kullanıcılar veya bazı kullanıcı grupları iş gereksinimlerini
aşan erişim yetkileri ile yetkilendirilebilir.
Aşırı yetki suistimalinin çözümü sorgu seviyesinde erişim denetimidir. Sorgu seviyesinde erişim
denetimi, veritabanı yetkilerini gerek
olan en düşük SQL işlemlerine (SELECT, UPDATE, vb.) ve verilerine sınırlayan mekanizmadır. Veri
erişim denetimi, tablolar seviyesinde değil çok daha esnek olarak tablo içindeki satır ve sütunlar
seviyesinde olmalıdır. Yeterince esnek olan bir sorgu seviyesi erişim denetimi mekanizması kötü
niyetli bir üniversite çalışanının iletişim bilgilerini değiştirmesini sağlamalı ama notları değiştirmeye
çalıştığında bir uyarı oluşturmalıdır. Sorgu seviyesinde erişim denetimi sadece kötü niyetli çalışanlar
tarafından yapılan aşırı yetki suistimalini tespit etmek için kullanılabileceği gibi bu belgede anlatılacak
diğer önemli tehditleri de engellemek için kullanılabilir.
Çoğu veritabanı yazılımı belirli düzeyde sorgu seviyesinde erişim denetimi içermektedir, ama bu hazır
özelliklerin elle uygulanması gerçeği bu yöntemin çok kısıtlı kurumlar dışında uygulanmasını
olanaksızlaştırır. Tüm kullanıcılara yönelik veritabanı satır, sütun ve işlemleri için sorgu seviyesinde
erişim denetimini elle tanımlamak çok fazla zaman alan bir süreçtir. Bu durumu daha da zorlaştıran
zaman içinde değişen kullanıcı rolleridir, sorgu politikalarını yeni roller için güncelleme gereksinimi de
ortaya çıkmaktadır. Sonuç olarak çoğu kurum kullanıcılarına aşırı erişim yetkileri sağlamaktadır. Sorgu
seviyesinde erişim denetimini gerçekleştirmek için otomatik araçlara gereksinim vardır.
Eğer bir kullanıcı kendi profiline uymayan bir etkinlikte bulunursa, SecureSphere bu olayı kayıtlar,
uyarı üretir, ve isteğe bağlı olarak olayın önem seviyesine göre etkinliği engelleyebilir. Örnekte
bahsedilen notları değiştiren üniversite çalışanı Dynamic Profiling özelliği ile kolayca tespit edilebilir.
Üniversite çalışanı profili, öğrenci iletişim bilgilerini güncellemeyi içeren sorgu gruplarını kapsayabilir.
Ama notları değiştirme denemesi bir uyarı üretecektir.
Hasta kayıtları veritabanının bu biçimde kişisel kopyaları hiçbir sağlık kuruluşunun veri koruma
güvenliği politikalarına uygun değildir. Burada dikkat edilmesi gereken iki risk vardır. Birincisi kötü
niyetli çalışanın bu hasta kayıtlarını para için satmasıdır. Daha genel olarak rastlanan ikincisi ise
dikkatsiz çalışanın meşru iş amaçları için büyük miktarlarda veriyi alması ve saklamasıdır. Veri, son
kullanıcı makinesinde saklandığı zaman Truva atı, taşınabilir bilgisayar hırsızlığı ve benzeri tehditlere
açık hale gelmektedir.
Bağlamı kullanıcı profilinde kayıtlı bilgiler dışında olan bağlantılar bir uyarı tetikler. Örneğin daha önce
bahsedilen kötü niyetli sağlık çalışanı sadece Excel gibi standart dışı uygulamadan değil aynı zamanda
bir oturumda çekilen veri boyutundan dolayı tespit edilebilir. Bu özel örnekte, standart olmayan Excel
sorgusundaki yapısal farklılıklar aynı zamanda sorgu seviyesinde bir ihlal uyarısı da tetikleyecektir.
Tek başına IPS kullanarak saldırıları içeren veritabanı isteklerini doğru bir şekilde tespit etmek zor
olabilir. Güvenlik açığı olan çoğu veritabanı fonksiyonu genelde meşru amaçlar için kullanılmaktadır.
Bu yüzden bu fonksiyonları içeren tüm olayları engellemek bir seçenek değildir. IPS meşru
fonksiyonları gömülü saldırılardan doğru şekilde ayırmalıdır. Çoğu zaman saldırılardaki sonsuza varan
varyasyonlar bu süreci olanaksızlaştırır. Bu gibi durumlarda yanlış uyarı riskinden dolayı atak önleme
sistemleri engelleme yapmayan sadece uyarı modunda kullanılmaktadır.
Doğruluk oranını artırmak için IPS ile birlikte sorgu erişimi denetimi gibi alternatif saldırı tespit
yöntemleri de kullanılabilir. IPS, bir veritabanı isteğinin açık fonksiyona erişip erişmediğini
denetlerken sorgu erişim denetimi isteğin normal bir kullanıcı davranışı sonucu olup olmadığını tespit
etmek için kullanılabilir. Eğer bir istek hem açık fonksiyona erişiyor ve hem de normal bir davranış
değilse yüksek olasılıkla bir saldırı gerçekleşmektedir.
SecureSphere IPS; kolayca tanımlanabilen belirli saldırıları herhangi bir ek saldırı onayına gereksinim
duymadan engeller. Fakat yapılan istek sadece şüpheli olarak sınıflandırılıyorsa, SecureSphere isteği
Dynamic Profiling ihlalleriyle eşleştirerek saldırı olup olmadığına karar verir.
SecureSphere IPS ve Dynamic Profiling özelliğinin nasıl bütünleştiğini göstermek için finans
kurumundaki kötü niyetli yazılım geliştirici örneğine geri dönelim. Geliştirici, veritabanı
fonksiyonlarında bilinen bir tampon bellek taşması açığından yararlanmak için zararlı kod ekleyip
veritabanı yetkilerine sahip olmaya çalışır. Bu durumda SecureSphere eşzamanlı iki adet ihlal tespit
edecektir. İlk olarak güvenlik açığı bilinen bir fonksiyona erişim bir IPS ihlaline yol açacaktır.
İkincisinde standart olmayan bir sorgu profil ihlaline sebep olacaktır. Aynı kullanıcıdan bir veritabanı
isteği içindeki iki farklı güvenlik ihlalinin eşleştirilmesiyle saldırı çok net tespit edilir ve yüksek seviyeli
bir uyarı oluşturulabilir veya engelleme gerçekleştirilebilir.
» Dynamic Profiling her kullanıcı ve uygulamanın normal sorgu davranışlarını otomatik olarak
oluşturarak sorgu seviyesinde erişim denetimi sağlar. Bir SQL enjeksiyonu saldırısı gibi mevcut
kullanıcı veya uygulama davranışında görülmeyen sorgu tipleri anında tespit edilir.
» Securesphere IPS, güvenlik açığı olan saklanmış prosedürleri ve SQL enjeksiyonu söz dizgilerini
tespit etmeye yönelik özel veritabanı imzaları içermektedir.
» Eşleştirilmiş Tehdit Doğrulaması birden fazla SecureSphere tespit katmanından gelen güvenlik
ihlallerini eşleştirmektedir. SecureSphere aynı kullanıcıdan gelen birden fazla ihlali eşleştirerek hiçbir
katmanın tek başına tespit edemediği saldırıları çok yüksek bir netlikle tespit edebilir.
Bu saldırıda saldıran(scott) güvenlik açığı bulunan saklanmış prosedüre bir “grant” komutu gömerek
kendisine veritabanı yöneticisi yetkileri vermeye çalışmaktadır. SecureSphere, bu saldırıyı saklanmış
prosedürün gerekli bir iş operasyonunun işlevi olup olmadığına göre iki yöntemle karşılayabilir:
» Denetsel Risk –Zayıf (bazı durumlarda olmayan) veritabanı denetimi mekanizmasına sahip kurumlar
yasal sorumlulukları yerine getirmemektedir. Mali sektörde SOX (Sarbanes-Oxley) ve sağlık
sektöründeki HIPAA (Healthcare Information Portability and Acccountability Act) veritabanı denetim
gereksinimleri ve yasal sorumluluklar için çok net iki örnektir.
Veritabanı yazılım platformları genelde basit denetim yetenekleri içerir ama uygulanmalarını
engelleyecek veya sınırlandıracak güvenlik açıklarından etkilenmektedir.
» Kullanıcı Hesap verebilirliği Eksikliği – Kullanıcılar SAP, Oracle E-Business Suite, veya PeopleSoft
gibi web uygulamaları aracılığıyla veritabanına ulaştığında yerel denetim mekanizmaları belirli
kullanıcı kimlikleri hakkında bilgi sahibi olamaz. Bu durumlarda tüm kullanıcı etkinliği web
uygulamasındaki hesap ismi ile eşleştirilir. Sonuç olarak yerel denetim kayıtları dolandırıcılığı belirten
veritabanı işlemlerini ortaya çıkardığında bunu sorumlu kişi ile eşleştirecek bir bağlantı olmayacaktır.
» Performans Kaybı – Yerel veritabanı denetim mekanizmaları CPU ve disk kaynaklarını harcaması
konusunda kötü üne sahiptir. Denetim özellikleri etkinleştirildiğinde ortaya çıkan performans kaybı
çoğu kurumu ölçeği düşürmeye veya denetim mekanizmasını tamamen devre dışı bırakmaya
zorlamaktadır.
» Görevler Ayrılığı – Veritabanı sunucusuna yönetimsel erişim hakkı olan (meşru yollardan sahip olan
veya zararlı yöntemlerle elde eden) kullanıcılar dolandırıcılık etkinliklerini gizlemek için denetim
özelliğini kolayca kapatabilir. İdeal olan denetim görevinin veritabanı ve veritabanı sunucu
platformundan ayrılmasıdır.
» Sınırlı Esneklik – Çoğu yerel denetim mekanizması saldırı tespiti, delil toplama ve kurtarmayı
destekleyecek gerekli detayları kaydetmez. Örnek olarak veritabanı istemci uygulaması, kaynak IP
adresi, sorgu yanıtı bilgileri ve başarısız sorgular çoğu yerel denetim mekanizması tarafından
kaydedilmez.
» Üreticiye Özel – Yerel denetim mekanizmaları veritabanı sunucu platformuna özgüdür. Oracle
denetim kayıtları MS-SQL kayıtlarından farklıdır, MS-SQL kayıtları da Sybase kayıtlarından. Tek ve
ölçeklenebilir denetim süreçlerini kurum çapına uygulamak birden fazla veritabanı ortamına sahip
kurumlarda bu sebeplerden dolayı neredeyse olanaksızdır.
Kaliteli ağ tabanlı donanımsal kutular yerel denetim araçlarının çoğu zayıf özelliklerine çözüm
sunmaktadır.
» Yüksek Performans – Ağ tabanlı denetim sistemleri hat hızında çalışarak veritabanı performansını
olumsuz etkilemez. Hatta denetim süreçlerini ağ cihazlarına yükleyerek veritabanı performansında
iyileştirmeler gerçekleştirilebilir.
» Platform Bağımsız Denetleme – Ağ tabanlı denetim cihazları genellikle önde gelen veritabanı
platformlarının tümünü destekleyerek farklı veritabanı ortamlarının bulunduğu kurumlarda tekil
standartlara ve merkezi denetim operasyonlarına olanak sağlar.
Bu özelliklerin hepsi bir arada veritabanı sunucu maliyetlerini, yük dengeleme ve yönetimsel
maliyetleri düşürür. Aynı zamanda daha iyi güvenlik sağlar.
Yukarıda anlatılan ağ temelli denetim cihazlarının genel artılarına ek olarak SecureSphere bazı eşsiz
denetim özellikleri de sunmaktadır.
» Universal User Tracking özelliği bireysel kullanıcıların Oracle, SAP, PeopleSoft veya özel yazılmış
web uygulamalarından veritabanına erişim yapsalar bile davranışlarından sorumlu olmalarını
sağlamaktadır. Web uygulaması kullanıcı isimlerini tanımlamak için atanmış bir SecureSphere arayüzü
uygulama giriş bilgisini yakalar, sonraki web kullanıcı oturumunu takip eder ve bunları veritabanı
işlemleri ile eşleştirir. Ortaya çıkan denetim kayıtları web uygulaması tekil kullanıcı isimlerini
içermektedir.
» Esnek İşlem Takibi, gelişmiş dolandırıcılık tespiti, adli delil ve kurtarmayı içermektedir. Kayıt
detayları; kaynak uygulama ismi, sorgu metninin tamamı, sorgu yanıtı bilgileri, kaynak işletim sistemi,
kaynak makine ismi gibi ayrıntıları içerir.
» Dağıtık Denetim Mimarisi, esnek işlem takibi sağlarken aynı zamanda geniş veri merkezleri için
ölçeklenebilir. Mimari, gerekli olan depolama ve işlem kaynaklarını dağıtık SecureSphere Gateway
cihazlarına paylaştırmaya olanak sağlar. SecureSphere Management Server donanımı denetçi ekibe
veri merkezinin bütünleşik görünümünü sunar. Management Server, birçok cihazın denetçi ekip
açısından tek bir cihaz gibi etkin bir şekilde yönetilmesine olanak sağlar. Alternatif yaklaşımlar ya
kısıtlı işlem kayıtlamayı önerir ya da yöneticileri dağıtık cihazları bağımsız olarak yönetmeye zorlar.
» Dışsal Veri Arşivleme yetenekleri uzun vadeli veri arşivleme süreçlerini otomatikleştirir.
SecureSphere verinin dışsal depolama sistemlerine periyodik olarak arşivlenmesi için
yapılandırılabilir. Veri istenirse arşivlenmeden önce sıkıştırılabilir, şifrelenebilir, ve imzalanabilir.
DOS arkasındaki güdüler yöntemler kadar çeşitlidir. DOS saldırıları genellikle, uzaktaki bir saldırganın
kurbanın uluslararası bir banka hesabına para yatırmasına kadar aralıksız olarak sunucusuna
saldırmasını içeren gasp suçu ile ilgilidir. Alternatif olarak hizmet dışı bırakma bir solucan bulaşmasına
da bağlanabilir. Sebep ne olursa olsun DOS çoğu kurum için ciddi bir tehdit oluşturmaktadır.
» Bağlantı Denetimi, her bir veritabanı kullanıcısı için bağlantı oranları, sorgu oranları ve diğer
değişkenleri sınırlandırarak sunucu kaynaklarına aşırı yüklenmeyi engeller.
» IPS ve Protokol Doğrulama DOS oluşturmak için bilinen yazılım güvenlik açıklarını kullanan
saldırganları engellemektedir. Tampon bellek taşması, veritabanı sunucularının çökmesine sebep
olabilen yaygın bir platform güvenlik açığıdır. SecureSphere IPS ve Veritabanı İletişimleri Protokol
Doğrulaması teknolojilerinin daha detaylı açıklamaları için bu belgedeki Yetki Yükseltmesi ve
Veritabanı İletişimleri Protokol Güvenlik Açıkları kısımlarına bakınız.
» Dinamik Profil Oluşturma, DOS’a sebep olabilecek herhangi bir yetkisiz sorguyu tespit için,
otomatik olarak sorgu erişim denetimi sağlamaktadır. Platform güvenlik açıklarını hedef alan DOS
saldırıları, IPS ve Dinamik Profil ihlallerinin ikisini birden büyük olasılıkla tetikleyecektir. Bu ihlalleri
ilişkilendirerek, SecureSphere eşsiz bir netliğe erişebilir. Dinamik Profil Oluşturma’nın tam açıklaması
için bu belgedeki Aşırı Yetkiyi Kötüye Kullanma bölümüne bakınız.
» Kaba Kuvvet – Saldırgan, giriş için gerekli değerleri bulana kadar kullanıcı adı ve şifre
kombinasyonlarını dener. Kaba kuvvet süreci, basit bir şifre tahmini olabileceği gibi olası tüm kullanıcı
adı ve şifrelerin sistematik olarak denenmesini de içerebilir. Saldırganlar çoğu zaman kaba kuvvet
süreçlerini hızlandırmak için otomatik araçlar kullanır.
» Doğrudan Kimlik Hırsızlığı – Saldırgan kimlik bilgilerini; şifre kağıtlarını veya notlarını kopyalayarak
veya çalarak elde eder
Dizin Entegrasyonu
Ölçeklenebilirlik ve kullanım kolaylığı açısından güçlü kimlik doğrulama mekanizmaları kurumsal dizin
yapısı ile bütünleştirilmelidir. Diğer hususların dışında, bir dizin altyapısı kullanıcıların çoklu veritabanı
ve uygulamalara giriş için bir tane kullanıcı adı/şifre kullanmalarına izin verir. Bu yöntem iki faktör
kimlik doğrulama sistemlerini daha maliyet etkin yapar ve kullanıcıların sürekli değişen şifreleri daha
kolay hatırlamalarını sağlar.
Dynamic Profiling
Dynamic Profiling, ele geçirilmiş giriş bilgilerini tespit eden bir dizi kullanıcı bilgilerini kaydetmektedir.
Bu kullanıcı bilgileri, kullanıcı IP adresi, makine ismi, işletim sistemi kullanıcı ismi ve istemci
uygulamasını içerir. Örneğin daha önce sosyal mühendislik örneğinde anlatılan saldırgan çaldığı
kullanıcı adı ve şifre bilgileri ile giriş yapmayı denediğinde birden fazla SecureSphere uyarısını
tetikleyecektir. Saldırganın makine ismi, işletim sistemi kullanıcı adı, ve hatta IP adresi ele geçirilmiş
hesabın gerçek kullanıcısının profiline uymayacaktır.
Dynamic Profiling özelliğinin gücünü daha fazla göstermek gerekirse saldırganın meşru kullanıcının
hem veritabanı giriş hem de işletim sistemi giriş bilgilerini çaldığını varsayalım. Hatta saldırganın
hesabın asıl kullanıcısının bilgisayarını da kullandığını varsayalım. SecureSphere bu tehdidi çok yüksek
olasılıkla tespit edecektir. Burada iki SecureSphere ihlali devreye girecektir.
» Günün Saati – Ele geçirilmiş hesabın kullanıcısının bilgisayarını kullanabilmek için saldırgan gece
saatlerini veya diğer mesai dışı zamanları kullanacaktır. SecureSphere Dynamic Profile mesai saatleri
gibi bir model içerdiğinden mesai dışı saatte erişim de ihlal oluşturup uyarıya sebep olacaktır
Özet
Her ne kadar veritabanı bilgileri birçok saldırıya açıksa da en önemli olanlara odaklanarak bu riskleri
ciddi bir şekilde azaltmak mümkündür. Kurumlar yukarıda ana hatları belirtilen 10 tehdidi
hedefleyerek dünyada en çok denetlenen sektörlerdeki uyumluluk ve risk azaltımı gereksinimlerini
karşılayabilir.